Re: iTAN vs. mobileTAN
Von: Hans Huber (huberh@gmx.net) [Profil]
Datum: 17.06.2008 23:54
Message-ID: <7ee24$4858328d$3eb28e19$24022@news.chello.at>
Newsgroup: at.gesellschaft.finanzen
Datum: 17.06.2008 23:54
Message-ID: <7ee24$4858328d$3eb28e19$24022@news.chello.at>
Newsgroup: at.gesellschaft.finanzen
"Wolfgang Koenig" schrieb > Wie geht das, wenn ich www.bankaustria.com eingebe? Mittels Manipulation > der Domain Services? ein paar Möglichkeiten hat Michael im Parallelposting schon exemplarisch angeführt. Die Gefahr ist jedenfalls nicht theoretischer Natur und auch nicht sonderlich an den Haaren herbeigezogen. > Bei der Bank Austria kommt per SMS eine die Empfänger Kontonummer, > Bankleitzahl, Betrag und natürlich der TAN sofern Du auch all diese Nummern nochmals kontrollierst sehe ich einen ausreichenden Schutz. Wie gesagt: Man-in-the-middle bedeutet, dass irgendjemand die Transaktion live modifiziert, also im simpelsten Fall KtoNr/BLZ austauscht und die Überweisung auf ein anderes Konto umlenkt. > Aber die Kontrolle des Endbetrages ist kein besonderes Problem, wie ich > finde. Den Betrag zu verändern fällt zu schnell auf, da dieser ja am Kontoauszug sofort ins Auge stechen würde. Das Augenmerk des Anwenders muss auf ALLEN relevanten Überweisungsdaten liegen. Wie gesagt: Wenn die Bank-Austria das so handhabt sehe ich es als brauchbar an, sofern man als Anwender tatsächlich sorgfältig alle Angaben am Handy-display nochmals kontrolliert und nicht nur blind die TAN abliest und in den Webbrowser eintippt. Mir ist jedoch berichtet worden, dass andere Banken dies nicht auf diese Art implementiert haben (also nicht mehr alle Buchungs-Relevanten Daten zur Kontrolle nochmals aufs Handy schicken), was natürlich die Vorteile des alternativen Übertragungskanals (Handy/SMS) welcher vom Hacker schwer kontrolliert werden kann zunichte macht.[ Auf dieses Posting antworten ]